Vastus
Isikuandmete kaitse üldmääruses on andmekaitseasutustele ette nähtud erinevaid vahendeid isikuandmete kaitse eeskirjade rikkumiste jaoks:
- tõenäoline rikkumine – võidakse teha hoiatus;
- rikkumine – võimalik on teha noomitus, kehtestada ajutine või alaline isikuandmete töötlemise piirang ja määrata trahv, mille suurus on kuni 20 miljonit eurot või kuni 4% ettevõtja ülemaailmsest aastasest kogukäibest.
Tasub meeles pidada, et rikkumise korral võib andmekaitseasutus määrata rahalise trahvi noomituse ja/või töötlemise piirangu asemel või neile lisaks.
Asutus peab tagama, et igal üksikjuhul oleksid määratud trahvid tõhusad, proportsionaalsed ja heidutavad. Sealjuures võetakse arvesse erinevaid tegureid, nagu rikkumise laad, raskus ja kestus, rikkumise tahtlikkus või hooletus, üksikisikutele tekitatud kahju leevendamiseks võetud meetmed, organisatsiooni koostöövalmidus jne.
Näide
Ettevõte müüb veebipoes majapidamises vajalikke tooteid. Selle veebisaidi kaudu saavad tarbijad oma pangaandmete sisestamise teel osta köögiseadmeid, laudu, toole ja muid majapidamistarbeid. Veebisaiti tabas küberrünnak, mille tagajärjel muutusid isikuandmed ründajale kättesaadavaks. Käesoleval juhul paistab andmete kaotuse põhjuseks olevat asjakohaste tehniliste meetmete puudumine.
Järelevalveasutus võtab sellisel juhul arvesse mitmeid tegureid ja seejärel otsustab, mis parandusmeetmeid ta kasutab. Näiteks uuritakse, kui tõsine oli IT-süsteemi puudulikkus. Kui kaua oli IT-taristu sellisele riskile avatud olnud? Kas varem oli tehtud katseid sellise rünnaku ennetamiseks? Kui suure arvu klientide isikuandmed varastati või avaldati? Mis liiki isikuandmed kannatasid ja kas nende hulka kuulus tundlikke andmeid? Järelevalveasutus võtab arvesse kõiki neid ja teisi asjaolusid.
Viited
Example
A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.
In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.